Pillole di GDPR: approfondimento su “Consenso” e “Consenso  rafforzato”

Pillole di GDPR: approfondimento su “Consenso” e “Consenso rafforzato”

Fra le principali innovazioni introdotte dal Regolamento UE 2016/679, vi è la forte connessione fra i principi generali che governano il trattamento e le motivazioni (c.d. basi giuridiche), le quali rendono legittimo il trattamento stesso. L’obiettivo del legislatore europeo, infatti, è quello di rendere la protezione dei dati molto più concreta di quanto non lo sia stata in passato; perciò, rispetto alla disciplina previgente, il GDPR ha da un lato, ampliato la sfera delle basi giuridiche e, dall’altro, ha ridotto l’ipotesi di ricorso alla base giuridica tradizionalmente più utilizzata: il consenso.

Infatti, nel nuovo assetto normativo, il consenso dell’interessato è definito come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento” (art. 4 Regolamento UE 2016/679).

Dalla definizione è possibile trarre alcune considerazioni. In particolare, ogni qualvolta i dati devono essere obbligatoriamente forniti dall’interessato, tendenzialmente il consenso non potrà esserne la base giuridica, perché carente del requisito di libertà nella comunicazione dei dati personali; oppure, in alcune ipotesi, nel caso della conclusione di un contratto, il consenso potrebbe rappresentare un prerequisito per raggiungere un accordo. Inoltre, il consenso dovrà sempre essere informato, quindi per essere ritenuto valido, sarà reso dall’interessato solo dopo aver ricevuto l’informativa. Ancora, il consenso è specifico per un determinato trattamento e non per qualsiasi utilizza che il titolare potrà fare dei dati dell’interessato.

In alcune ipotesi, il GDPR prevede un consenso “rafforzato”; in quel caso, oltre ai requisiti di cui alla definizione dell’art. 4, il consenso dovrà presentare ulteriori caratteristiche. Ad esempio, il trattamento di dati particolari, come previsto dall’art. 9, potrà avvenire sulla base del consenso esplicito dell’interessato. Ciò significa che il consenso dovrà essere confermato con una modalità che consenta di sottolineare la volontà dell’interessato (come attraverso una firma aggiunta alla tradizionale crocetta). Analogo requisito è previsto per il trattamento automatizzato (art. 22) e nell’ambito delle deroghe ai requisiti per il trasferimento dei dati al di fuori dell’UE.

Pertanto, l’individuazione del consenso quale base giuridica del trattamento dovrà tenere conto della definizione contenuta nel GDPR, affinché possa essere ritenuto valido. Inoltre, in relazione alla tipologia di trattamento, la forma con la quale sarà reso dovrà essere attentamente valutata.